picasa客户端登陆相册时,总是提示“没有为网络相册启用该帐户”。实际是picasaweb.google.com被墙了,网上有改host,用代理的方法来解决。不过有更方便的法子就是用网友们提供的更改过picasa3.exe文件替换原来的文件即可,原理就是:墙只封了http://picasaweb.google.com,但是还有http://picasaweb.google.ca或者http://picasaweb.google.jp。只要把程序里面的域名改成指向http://picasaweb.google.ca或者http://picasaweb.google.jp就行了。
附下载地址:http://cid-51a1434369aaea9a.office.live.com/self.aspx/.Public/Picasa3.rar
转自随风随缘博客,亲测可用。
这段时间需要用到BGP,好久没看了,总结了一下。总结的比较乱,是个大概思路吧,不过大概的BGP选路和机制就是这样的。
黑洞的产生:路由不同步。
解决黑洞的方法:
1:重分布;(不推荐,路由条目太多)
2:物理直连直连边缘路由器。
3:所有的路由器都运行IBGP;(混乱,骨干网部分可运行BGP)
骨干部分 FULLMESH:(2)
水平分割:
防止BGP环路
从IBGP学到的路由条目,不会再发送到其他IBGP。
解决水平分割的方式:FULLMESH
解决FULLMESH的方式:
1:反射器
2:联邦(分成很多小的,小的可再加反射器)
防止黑洞的概念:
1:同步:
在同一个AS中从一个IBGP学到的路由,要想使用,必须要在IGP中也学到。
作用:抑制黑洞
默认是关掉的;
(如果同步是开启的,路由都学不到。)
如果同步开启,并且想要学到,只有
把EBGP重分布到IBGP
2:把同步关掉,骨干区域FULLMESH。
路由反射器。
验证路由反射器通告路由的三条规则
RFC 1966定义了三个规则,根据学习到路由的途径,RR通过这三条规则来决定将路由公布给谁:
(1)如果路由是从非客户的IBGP对等学习到的,只将它反射给客户。
(2)如果路由是从客户处学习到的,将它反射给除了发起该路由的客户外的所有非客户以及客户。
(3)如果路由是从EBGP对等处学习到的,将它反射给所有的客户和非客户.
水平分割:
FULLMESH
路由黑洞
同步 —- 重分布
同步要关掉。
FULLMESH
BGP为路径矢量协议,防环机制为AS号+BGP水平分割;
同步是为了避免路由黑洞的产生,默认是关闭的;
要想不开启同步,必须在AS内穿越路由器上配置IBGP并FULLMESH;
IBGP之间要想不做FULLMESH,必须使用联盟或路由反射器。
IPsec配置超级指南(大纲,说明,实例,实验)
IPsec-VPN–virtual private network
什么是VPN–虚拟专用网
VPN作用–通过公网实现远程连接,将私有网络联系起来
VPN的类型:
1、overlay的VPN,例如IPsec-VPN
2、peer-to-peer的VPN,例如MPLS-VPN
还可以分为二层VPN和三层VPN
IPsec-VPN是三层的VPN
IPsec-VPN的分类:
1、site-to-site VPN 也叫 LAN-to-LAN VPN (要求两个站点都要有固定的IP)
2、EASY-VPN 也叫 remote VPN (通常用于连接没有固定IP的站点)
IPsec-VPN提供三个特性:
1、authentication 每一个IP包的认证
2、data integrity 验证数据完整性,保证在传输过程中没有被人为改动
3、confidentiality (私密性)数据包的加密
《知识准备》
在学习IPsec技术之前,先要学习以下几点知识
1、加密机制
2、DH密钥交换算法
3、认证机制
4、散列机制
加密机制–密码学分为两类:
对称加密算法—使用一把密匙来对信息提供安全的保护。只有一个密匙,即用来加密,也用来解密
特点:
1、速度快
2、密文紧凑
3、用于大量数据的传送
对称加密代表:DES、3DES、AES
3DES–有三个密匙,用第一个密匙加密,用第二个密匙解密,再用第三个密匙加密
非对称加密—有一对密匙,一个叫公匙,一个叫私匙,如果用其中一个加密,必须用另一个解密。
特点:
1、速度慢
2、密文不紧凑
3、通常只用于数字签名,或加密一些小文件。
非对称加密的代表:RSA、ECC
非对称加密代表RSA–有一对密匙,一个公匙,一个私匙,私匙加密,公匙解密,或者公匙加密,私匙解密
非对称加密可以有两种应用:
1、公钥加密,私钥解密,叫加密
2、私钥加密,公钥解密,叫数字签名
理想的应用方法,用非对称加密法来传送对称加密的密匙,或用在数字签名当中。用对称加密法来加密实际的数据。
数字签名不但证明了消息的内容,还证明了发送方的身份。
密钥化的HASH–使用密钥对生成的消息摘要进行加密时,被称为加密的消息摘要。
diffie-hellman key exchange–DH算法
是一种安全的让通信双方协商出一个共享密匙的方法。
用对方的公匙和自已的私匙产生一个双方都能知道的KEY(也叫共享的密秘),作对称加密用
DH group 1的长度是768位 (产生出的KEY的长度)
DH group 2的长度是1024位
认证机制–(这里所指的是设备的认证,而不是用户的认证)
现代的基本加密技术要依赖于消息之目标接收者已知的一项秘密,关键的问题是如何保障密钥的安全。
1、用户名和密码
2、OTP(one time password)一次性密码
3、生物认证(指纹、眼膜)
4、预共享密钥
5、数字证书
6、加密临时值
散列机制–用来做完整性检验
散列函数(就是HASH)–把一大堆数据经过计算得到一个较小的、定长的值,散列是一种不可逆函数。这意味着一旦明文生成散列,就不可能或者说极端困难再将其由散列转换成明文。
HASH的特点:
1、不管输入什么数据,输出是定长的
2、只要输入有一点微小变化,输出就会发生很大的变化,也就是雪崩效应
3、不可逆
HASH的算法:
1、md5 提供128位的输出 md5是验证,不是加密技术,用来做哈希
2、SHA 提供160位的输出
HMAC–使用散列的消息认证编码,或者叫密钥化的HASH,是一种使用HASH来进行认证的机制。可以用来做预共享密钥的认证。
—————————————————————————————-
IP sec 的组成–IPsec协议集包括三个协议:
1、internet key exchange(IKE)密匙交换协议
协议双方使用的算法,密匙,协商在两个对等体之间建立一条遂道的参数,协商完成再用下面的方法封装数据。
IKE动态的,周期性的在两个PEER之间更新密钥
2、encapsulating secutity payload(ESP)封装安全负载
可以对数据包认证,加密,封装,IP中协议号–50,通常使用3DES来进行加密
3、authentication header (AH)
只提供认证,封装,不提供加密,明文传送,IP中协议号–51
IPsecVPN的两种模式–
一、传输模式:
不产生新的IP头,在原包头之后插入一个字段,当通信点等于加密点用这种方法
原始IP头 | (ESP或AH) | Data
二、通道模式:
产生一个新IP包头,当通信点不等于加密点用这种方法,site-to-site的VPN就是这种模式,因为通信点的IP头通常不是一个公网上可路由的头部,而新的IP头用的是两个peer之间的IP地址。
新IP头 | (ESP或AH) | 原始IP头 | Data
通信点:实际通信的设备
加密点:进行加密的设备
ESP封装中只对原始IP分组进行完整性检验
AH封装中进行完整性检验还包括新的IP头
——————————————————————————————–
IKE密匙交换协议
IKE的作用:用于在两个peer之间协商建立IPsec-VPN通道
1、协商参数
2、产生KEY,交换KEY、更新KEY
3、对双方进行认证
4、对密钥进行管理
也是由三个不同的协议组成:
1、ISAKMP–定义了信息交换的体系结构,也就是格式
2、SKEME–实现公钥加密认证的机制
3、Oakley–提供在两个IPsec对等体间达成相同加密密钥的基于模式的机制
ISAKMP基于UDP,源目端口都是500
site-to-site ipsec VPN的协商过程,分两个阶段
要想在两个站点之间安全的传输IP数据流,它们之间必须要先进行协商,协商它们之间所采用的加密算法,封装技术以及密钥。这个协商过程是通过IKE来完成的,IKE协商分两个阶段运行:
阶段一:在两个对等体设备之间建立一个安全的管理连接。没有实际的数据通过这个连接。这个管理连接是用来保护第二阶段协商过程的。
阶段二:当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全参数,这个协商过程是安全的,加了密的。协商完成后,将在两个站点间形成安全的数据连接。用户就可以利用这些安全的数据连接来传输自已的数据了。
第一阶段:建立ISAKMP SA 协商的是以下信息:
1、对等体之间采用何种方式做认证,是预共享密钥还是数字证书。
2、双方使用哪种加密算法
3、双方使用哪种HMAC方式,是MD5还是SHA
4、双方使用哪种Diffie-Hellman密钥组
5、使用哪种协商模式(主模式或主动模式)
6、还要协商SA的生存期
第二阶段:建立IPsec SA 协商的是以下信息:
1、双方使用哪种封装技术,AH还是ESP
2、双方使用哪种加密算法
3、双方使用哪种HMAC方式,是MD5还是SHA
4、使用哪种传输模式,是隧道模式还是传输模式
5、还要协商SA的生存期
第一阶段的协商过程总共有6条消息:
1、消息1和消息2用于peer之间协商加密机制
ISAKMP包含有ISAKMP头、SA负载、提议负载、转换负载等字段
总之是让双方协商好我们之间使用啥子协议、加密方法
具体是要协定四个东东:加密机制、散列机制、DH组、认证机制
2、消息3和消息4用于相互之间交换公共密匙
两端的peer先各自生成自已的私匙和公匙,同时还产生一个临时值。然后再使用消息3或消息4将各自的公匙和临时值进行交换。
交换完公匙后,每个peer先根据对方的公匙和自已的私匙生成一个共享秘密(使用DH算法),再根据共享秘密、对方和自已的临时值、预共享密钥产生出三个SKEY:
SKEYID_d–此密匙被用于计算后续IPsec密匙资源
SKEYID_a–此密匙被用于提供后续IKE消息的数据完整性以及认证
SKEYID_e–此密匙被用于对后续IKE消息进行加密
消息3和4的ISAKMP包含以下字段:ISAKMP包头、密匙交换负载(KE)、临时值负载
3、消息5和消息6用于两个peer之间进行认证,这两个消息是用SKEYID_e进行过加密的。
每个peer根据一大堆东东(包括SKEYID-a、预共享密钥、标识ID)生成一个Hash值,再将这个值和自已的标识ID(通常是IP或主机名)发送给对方。当然,使用的就是消息5或消息6。
每个peer收到对方的ID和Hash值后,先根据对方的ID找到对方的公匙,再计算本地Hash值,如果本地Hash值和对方的Hash值一样,就表示认证成功。
这一步完成后,IKE SA被建立,主模式认证完成
第二阶段的协商过程总共有3条消息:
1、第一、二条信息是两个peer之间协商形成IPsec SA的封装协议、模式、加密算法,还要互发用DH重新生成的新的公匙和临时值,以及其它一些参数,像SPI、ID等等。
2、第三条消息通常由发起者发送给响应者,起一个确认的作用,也用来验证通信信道的有效性
第三条信息发送前,两端的peer必须先用和DH相关的信息(新的私钥和对方公钥)生成一个新的DH秘密,然后用该值和SKEYID_d以及其他一些参数一起来生成最终加解密的KEY。
——————————————————————————————–
SA–安全关联
SA是两个通信实体经协商建立起来的一种协定,它们决定了用来保护数据包安全的IPsec协议、转码方式、密钥、以及密钥的有效存在时间等等。任何IPsec实施方案始终会构建一个SA数据库(SA DB),由它来维护IPsec协议用来保障数据包安全的SA记录。
SA是单向的–如果两个主机(比如A和B)正在通过ESP进行安全通信,那么主机A就需要 有一个SA,即SA(OUT),用来处理外发的数据包,另外还需要有一个不同的SA,即SA(IN)用来处理进入的数据包。主机A的SA(OUT)和主机 B的SA(IN)将共享相同的加密参数(比如密钥)。
SA还要根据协议来区分,如果两个主机间同时使用ESP和AH,对于ESP和AH会生成不同的SA。
SADB–安全关联数据库,包含双方协商的IKE和IPsec安全信息
SPI–安全参数索引,是一个32位的值,用来标识用于处理数据包的特定的那个安全联盟。或者这样理解,用于唯一定义一条单向的IPsec通道。这个号码存在于ESP包头中,通道两端必须一致。
SA分为两种–
1、IKE(ISAKMP)SA 协商对IKE数据流进行加密以及对对等体进行验证的算法
2、IPsec SA 协商对对等体之间的IP数据流进行加密的算法
对等体之间的IKE SA只能有一个
对等体之间的IPsec SA可以有多个
PFS–完善转发安全性,是一种IKE协商中发起者可以向响应者提供建议的属性,是一种强制对等体双方在快速模式交换中产生新的DH秘密的属性。这允许使用新的DH秘密生成用于加密数据的加密密钥。
——————————————————————————————–
配置实例:
步骤:
1、configure crypto ACL 配置感兴趣流,需要加密的流量就是感兴趣流。
2、establish ISAKMP policy 第一阶段的策略
3、configure IPsec transform set 第二阶段的策略
4、configure crypto map
5、apply crypto map to the interface 在接口下应用
6、configure interface ACL 确定在外网接口放行哪些流量
一、定义感兴趣流:
ip access-list extended VPN
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
二、IKE第一阶段
crypto isakmp policy 10
encryption des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 202.100.1.2 pre-share key 的定义
三、IKE第二阶段
crypto ipsec transform-set MYSET esp-des esp-md5-hmac
mode tunnel
四、把感兴趣流与转换集映射一下
crypto map MYMAP 100 ipsec-isakmp
set peer 202.100.1.2 设置VPN对等体的地址
set tranform-set MYSET 设置转换集
match address VPN 感兴趣流和转换集的绑定
五、MAP与接口绑定
int s0
crypto map MYMAP
六、设定接口只允许跑VPN流量,在接口入设置
access-list 100 permit udp any eq 500 any eq isakmp
access-list 100 permit esp any any
access-list 100 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 由于ACL会二次查找,所以还要放行私网的流量
show crypto isakmp policy
show crypto isakmp sa 第一阶段的SA
show crypto ipsec sa 第二阶段的SA
show crypto engine connections active
show crypto map
crypto ipsec security-association lifetime [seconds|kilobytes] 第二阶段的一个协商时间,也就是说多长时间后重新协商密匙。也可按已发了多少流量来进行协商。哪个数值先到就先起效。
cryto isakmp keepalive 10 3
IPsec通道的终结:
当流量超过上限后或者超时自动终结
clear crypto isakmp 清第一阶段
clear crypto sa 清第二阶段
clear crypto session 在新版的IOS中,用这条命令全清
debug crypto isakmp
debug crypto ipsec
配置IPsec-VPN的注意点:
1、路由
2、感兴趣流量
3、策略
4、调用
接口设定ACL:
设定接口只允许跑VPN流量,在接口入设置
access-list 100 permit udp any eq 500 any eq isakmp
access-list 100 permit esp any any
或access-list 100 permit ahp any any
注意:在老IOS中,对包解密后还会再匹配一次访问列表,新的IOS中就不会,所以在老的IOS中要加入一条
access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
IPsec中的路由问题:
R1 需要有4.4.4.0的路由
R2 需要有4.4.4.0 1.1.1.0 30.0.0.0的路由
R3 需要有1.1.1.0 4.4.4.0 20.0.0.0的路由
R4 需要有1.1.1.0的路由
IPSec vpn是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。
IPSec VPN的应用场景分为3种:
1. Site-to-Site(站点到站点或者网关到网关):如弯曲评论的3个机构分布在互联网的3个不同的地方,各使用一个商务领航网关相互建立VPN隧道,企业内网(若干PC)之间的数据通过这些网关建立的IPSec隧道实现安全互联。
2. End-to-End(端到端或者PC到PC): 两个PC之间的通信由两个PC之间的IPSec会话保护,而不是网关。
3. End-to-Site(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。
VPN只是IPSec的一种应用方式,IPSec其实是IP Security的简称,它的目的是为IP提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方案。IPSec是一个框架性架构,具体由两类协议组成:
1. AH协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。
2. ESP协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。
为何AH使用较少呢?因为AH无法提供数据加密,所有数据在传输时以明文传输,而ESP提供数据加密;其次AH因为提供数据来源确认(源IP地址一旦改变,AH校验失败),所以无法穿越NAT。当然,IPSec在极端的情况下可以同时使用AH和ESP实现最完整的安全特性,但是此种方案极其少见。
介绍完IPSec VPN的场景和IPSec协议组成,再来看一下IPSec提供的两种封装模式(传输Transport模式和隧道Tunnel模式)
上图是传输模式的封装结构,再来对比一下隧道模式:
可以发现传输模式和隧道模式的区别:
1. 传输模式在AH、ESP处理前后IP头部保持不变,主要用于End-to-End的应用场景。
2. 隧道模式则在AH、ESP处理之后再封装了一个外网IP头,主要用于Site-to-Site的应用场景。
从上图我们还可以验证上一节所介绍AH和ESP的差别。下图是对传输模式、隧道模式适用于何种场景的说明。
从这张图的对比可以看出:
1. 隧道模式可以适用于任何场景
2. 传输模式只能适合PC到PC的场景
隧道模式虽然可以适用于任何场景,但是隧道模式需要多一层IP头(通常为20字节长度)开销,所以在PC到PC的场景,建议还是使用传输模式。
为了使大家有个更直观的了解,我们看看下图,分析一下为何在Site-to-Site场景中只能使用隧道模式:
如上图所示,如果发起方内网PC发往响应方内网PC的流量满足网关的兴趣流匹配条件,发起方使用传输模式进行封装:
1. IPSec会话建立在发起方、响应方两个网关之间。
2. 由于使用传输模式,所以IP头部并不会有任何变化,IP源地址是192.168.1.2,目的地址是10.1.1.2。
3. 这个数据包发到互联网后,其命运注定是杯具的,为什么这么讲,就因为其目的地址是10.1.1.2吗?这并不是根源,根源在于互联网并不会维护企业网络的路由,所以丢弃的可能性很大。
4. 即使数据包没有在互联网中丢弃,并且幸运地抵达了响应方网关,那么我们指望响应方网关进行解密工作吗?凭什么,的确没什么好的凭据,数据包的目的地址是内网PC的10.1.1.2,所以直接转发了事。
5. 最杯具的是响应方内网PC收到数据包了,因为没有参与IPSec会话的协商会议,没有对应的SA,这个数据包无法解密,而被丢弃。
我们利用这个反证法,巧妙地解释了在Site-to-Site情况下不能使用传输模式的原因。并且提出了使用传输模式的充要条件:兴趣流必须完全在发起方、响应方IP地址范围内的流量。比如在图中,发起方IP地址为6.24.1.2,响应方IP地址为2.17.1.2,那么兴趣流可以是源6.24.1.2/32、目的是2.17.1.2/32,协议可以是任意的,倘若数据包的源、目的IP地址稍有不同,对不起,请使用隧道模式。
IPSec除了一些协议原理外,我们更关注的是协议中涉及到方案制定的内容:
1. 兴趣流:IPSec是需要消耗资源的保护措施,并非所有流量都需要IPSec进行处理,而需要IPSec进行保护的流量就称为兴趣流,最后协商出来的兴趣流是由发起方和响应方所指定兴趣流的交集,如发起方指定兴趣流为192.168.1.0/24à10.0.0.0/8,而响应方的兴趣流为10.0.0.0/8à192.168.0.0/16,那么其交集是192.168.1.0/24ßà10.0.0.0/8,这就是最后会被IPSec所保护的兴趣流。
2. 发起方:Initiator,IPSec会话协商的触发方,IPSec会话通常是由指定兴趣流触发协商,触发的过程通常是将数据包中的源、目的地址、协议以及源、目的端口号与提前指定的IPSec兴趣流匹配模板如ACL进行匹配,如果匹配成功则属于指定兴趣流。指定兴趣流只是用于触发协商,至于是否会被IPSec保护要看是否匹配协商兴趣流,但是在通常实施方案过程中,通常会设计成发起方指定兴趣流属于协商兴趣流。
3. 响应方:Responder,IPSec会话协商的接收方,响应方是被动协商,响应方可以指定兴趣流,也可以不指定(完全由发起方指定)。
4. 发起方和响应方协商的内容主要包括:双方身份的确认和密钥种子刷新周期、AH/ESP的组合方式及各自使用的算法,还包括兴趣流、封装模式等。
5. SA:发起方、响应方协商的结果就是曝光率很高的SA,SA通常是包括密钥及密钥生存期、算法、封装模式、发起方、响应方地址、兴趣流等内容。
我们以最常见的IPSec隧道模式为例,解释一下IPSec的协商过程:
上图描述了由兴趣流触发的IPSec协商流程,原生IPSec并无身份确认等协商过程,在方案上存在诸多缺陷,如无法支持发起方地址动态变化情况下的身份确认、密钥动态更新等。伴随IPSec出现的IKE(Internet Key Exchange)协议专门用来弥补这些不足:
1. 发起方定义的兴趣流是源192.168.1.0/24目的10.0.0.0/8,所以在接口发送发起方内网PC发给响应方内网PC的数据包,能够得以匹配。
2. 满足兴趣流条件,在转发接口上检查SA不存在、过期或不可用,都会进行协商,否则使用当前SA对数据包进行处理。
3. 协商的过程通常分为两个阶段,第一阶段是为第二阶段服务,第二阶段是真正的为兴趣流服务的SA,两个阶段协商的侧重有所不同,第一阶段主要确认双方身份的正确性,第二阶段则是为兴趣流创建一个指定的安全套件,其最显著的结果就是第二阶段中的兴趣流在会话中是密文。
IPSec中安全性还体现在第二阶段SA永远是单向的:
从上图可以发现,在协商第二阶段SA时,SA是分方向性的,发起方到响应方所用SA和响应放到发起方SA是单独协商的,这样做的好处在于即使某个方向的SA被破解并不会波及到另一个方向的SA。这种设计类似于双向车道设计。
IPSec虽然只是5个字母的排列组合,但其所涉及的协议功能众多、方案又极其灵活,本期主要介绍IPSec的基本原理,在后续专栏还会继续介绍IPSec的其它方面知识。。
最近事情很多,并且刚刚换了工作,都没来更新文章;
新工作要开始要适应一下,要看的文档和资料非常多;
工作中如果有心得,再过来写下来吧
嘿嘿
1.ARP
首先讲到ARP,ARP是地址解析协议,它的作用是在以太网环境下,通过3层的IP地址来找寻2层的MAC地址,得到一张ARP缓存表。转发数据的时候根据ARP缓存表来进行传输。下图详细说明数据传输时ARP是如何一步步操作的。
在配置IP地址后,不做任何ping操作,ARP缓存表是这样的:
当PC去ping R1的时候,你会发现第一个丢包了。像这样
R1#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
.!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/25/56 ms
第一个包其实是做ARP请求去了。PC发现ping的是本网段,会发出ARP广播,向R1请求192.168.1.2的MAC地址。得到回应后ARP表会添加ARP请求得来的相应内容。
PC:这个时候PC再去ping 10.1.1.3会发现ping的不是本网段,由于PC没有路由功能所以不知道该往哪里发送,会按照之前已经配好的默认网关发送出去,一般默认网关会配置成路由器的接口IP,在这里是192.168.1.2。查看ARP缓存表发现了192.168.1.2对应的MAC地址,就把包交给路由器处理了。
R1:路由器收到去往10.1.1.0网段的数据包会查询路由表,首先查看路由表发现数据该发往FastEthernet 0/1
#show ip route
C 10.1.1.0 is directly connected, FastEthernet0/1
然后查看ARP表是否有下一跳10.1.1.3的MAC地址信息,如果有则按MAC把数据发到下一跳;如果没有则发出ARP查询,查询后获得下一跳地址10.1.1.3的MAC地址,存到ARP缓存表中,然后转发。
数据包发送到R2(已做好静态路由)。同理数据包返回,成功ping通。
2.代理ARP
“什么是代理ARP?代理ARP就是通过使用一个主机(通常为router),来作为指定的设备对另一设备的ARP请求作出应答。”这个可以说是一个官方解释了。大家可以用同一个拓扑来验证一下,在这里我们最常使用Router关闭路由功能来模拟成PC完成这个实验(左方PC为路由器模拟,在做此实验前请把前一实验的ARP信息清除,建议重启):
PC上不配置默认网关,此时用PC去ping 192.168.1.2和10.1.1.3。会得到以下ARP表
由此可见,PC发出ARP请求10.1.1.3的MAC地址,R2以自己的FastEthernet0/0口地址代理R3去回应PC,告诉PC自己的FastEthernet0/0就是10.1.1.3的MAC地址。
结论:有默认网关的的时候PC按默认网关走,没有默认网关的时候路由器通过代理ARP完成通信。
到目前为止一切都看起来那么的合理,那么的顺利。这个实验是一些培训班常做的实验之一。其实,错了!
问题出在哪里?问题就出在我们是用一台路由器去模拟PC。不管是否关闭路由功能,它始终不是PC,它处理数据的方式与PC也不一样。请大家思考一下,如果是一台PC,在没有默认网关的情况下去ping一个非本网段地址,会出现什么情况?
在没有默认网关的情况下ping一个非本网段地址,显示目标网络不可达,然后直接丢包,根本不会发出ARP查询。
PC在什么时候会发出ARP查询呢?ping一个本网段地址的时候(大家可以抓包来验证一下)。其实就是思科文档的这种情况了:
看清楚了,PC-A的IP地址是/16位,PC-D的IP地址是/24位,所以当PC-A去ping PC-D的时候,PC-A认为是ping同一个网段,会发出ARP请求,这个时候ARP请求就到了路由器上了。路由器如果开启了代理ARP功能,会代替PC-D给PC-A回应,告诉PC-A路由器的e0口MAC地址00-00-0c-94-36-ab就是PC-D的MAC地址,完成代理ARP操作,保护了PC-D的MAC地址隐私。
我认同这种说法,是合情合理的。但是不禁有个问题,谁会用这么脑残的方法配置IP地址呢?好吧,就当是有。
以下转自鸟哥的Linux私房菜:
“如果你一開始設計的網路環境就是同一個 C class 的網域,例如 192.168.10.0/24 , 後來因為某些因素必須要將某些主機搬到比較內部的環境中,例如圖一的 PC2 ~ PC4 。 然後又因為某些因素,所以你不能變更 PC2 ~ PC4 的 IP ,也就是說,有點像底下這樣的圖示:”
代理ARP作为这种特殊情况的解决方案是无可厚非的,但是按道理说这种情况万中无一。既然这种情况出现的概率那么低,为什么要把代理ARP设置为默认启动?这不是浪费资源吗?还存在ARP欺骗等安全隐患,完全可以把代理ARP功能设置为默认关闭。个人意见,有朋友知道原因请告知。
3.三层交换机不同网段关闭路由互通问题
破烂熊的问题:
一个三层交换机,f0/1设置成指定为pc同网段的网关的IP,f0/2指定为另一个网段的ip,关闭交换机的路由功能.pc可以ping通f0/2吗?
破烂熊的答案:
我用dy做实验是可以通的,
pc的目的和自己是不同网段的,pc通过arp学习到网关的mac后,发ping请求给网关,这个ping请求包是一个三层包,这个数据包的格式是 目标mac(网关的),源mac(pc的), 源IP(pc的),目标ip(f0/2的IP) 网关收到此包后检测数据帧的头部,发现是给自己的,于是解封装,除去帧头部,然后查看ip头部,网关发现目标IP和自己不是处于同一网段,由于三层已经没有了路由功能,所以没有去查找路由表,正常情况下是先查找路由表的.在有过第一次的转发数据记录后才会去查看arp表而不是路由表,要不然一收到和自己不网段的包就去找路由表,那arp表有啥用?于是通过查找找到了此IP已经被解析的mac,因为是交换机自身的接口配的IP的地址,当然是存在在路由器arp中的.也就是说这个目标的ip是不需要学习就可以找到的.查找到后就对帧进行重新封装.然后返回给pc,
纯个人见解,有不同看法的请指证……
个人认为非常正确,说的很透彻。但是有一点保留意见,“在有过第一次的转发数据记录后才会去查看arp表而不是路由表,要不然一收到和自己不网段的包就去找路由表,那arp表有啥用?”
这点我已经修正过来了。
还想补充一点的是,三层交换机只有一个MAC地址。所以以上问题的情况在三层交换机中的ARP缓存表会这样显示:
F0/1和F0/2对应的MAC地址是相同的。
最后留个问题:同样关闭路由功能的情况下,我在三层交换机上用F0/1去ping F0/2口能否通?
今天要用到端口流量检测,以前也是经常用,
但今天用的时候想google一下详细的命令及参数,但却没找到,
因此,自己总结一下吧,都是很简单的命令,都是针对接口的。
先是 show int stats
然后是
accounting:
show int accounting
counters:
sh int counters
检查数据错误:
sh int counters errors
清除monitor数据:
clear counters
针对outdiscards
Out-Discards—If you have a large number of deferred frames or Out-Discard (also referred to as Out-Lost on some platforms), it means that the switch’s output buffers have filled up and the switch had to drop these packets. This may be an indication that there is too much traffic that goes through this port.
vmwre安装freeBSD,然后安装olive模拟junOS成功,没遇到什么问题。要注意一点在主机没有多余ip的情况下,vm要选择NAT方式管理,之后可用crt连接私网ip管理,只是在本机操作的话,完全不影响实验。
显示虚拟机运行状态
xm list
使用文本方式连接虚拟系统
xm console
开启虚拟系统
xm create
关闭虚拟系统
xm shutdown
xm destroy
重新启动虚拟系统
xm reboot
将虚拟系统当前状态保存到文件中
xm save
恢复已保存的虚拟系统
xm restore
暂停虚拟系统
xm pause
恢复被暂停的虚拟系统
xm resume
